Annexe n° 02 — Régime de protection des données sous ARTERIA
Front : défense juridique
La traçabilité publique d'ARTERIA NE contredit PAS l'habeas data du patient. Elle le réalise. Le propriétaire du dossier médical est le patient — le système opère depuis cette prémisse.
Résumé exécutif
ARTERIA opère sur des données personnelles sensibles (dossier médical, événements cliniques, prescriptions, dispensation, événements indésirables) à l'échelle nationale. Cette sensibilité juridique est structurelle, non incidente. Tout avocat constitutionnaliste ou autorité de protection des données posera légitimement la question : comment coexistent la traçabilité publique du flux financier + l'identité cryptographique du professionnel avec la réserve légale de la donnée de santé + l'habeas data du patient ?
La réponse est architecturale, non rhétorique. ARTERIA met en œuvre le privacy by design : la traçabilité publique opère sur des métadonnées dissociées et agrégées, non sur des identités + contenu clinique. Les données personnelles sensibles du patient sont chiffrées avec sa propre clé cryptographique liée au matériel (hardware-bound), accessibles uniquement par lui et par ceux qu'il autorise explicitement. Ni l'État, ni la fondation opératrice, ni le Ministère ne peuvent lire le dossier médical d'un patient sans l'autorisation de ce dernier ou sans ordonnance judiciaire qualifiée.
Garantie structurelle fondamentale : ARTERIA rend plus forte la protection des données du patient que le système actuel. Aujourd'hui, les dossiers médicaux résident dans des archives physiques vulnérables ou dans des bases de données administrées de manière opaque par les EPS et les IPS, sans vérification cryptographique ni traçabilité des accès. ARTERIA inverse l'asymétrie — le patient est propriétaire technique et juridique de ses données, et tout accès est enregistré de manière immuable.
§1. Cadre légal en vigueur applicable
| Norme | Fonction |
|---|---|
| Constitution Politique art. 15 | Habeas data comme droit fondamental — toute personne peut connaître, mettre à jour et rectifier les informations recueillies sur elle dans les bases de données |
| Ley 1266 de 2008 | Habeas data financier — régime d'information commerciale et financière des personnes |
| Ley 1581 de 2012 | Loi générale de protection des données personnelles |
| Decreto 1377 de 2013 | Réglementation partielle — autorisation, transfert, transmission internationale, devoir de confidentialité |
| Decreto 886 de 2014 | Registre National des Bases de Données auprès de la SIC |
| Resolución 1995 de 1999 (modif. Res. 839/2017) | Gestion, conservation, rétention minimale de 15 ans, conservation du dossier médical |
| Ley 2015 de 2020 | Dossier Médical Électronique Interopérable (HCEI) — cadre légal spécifique |
| Resolución 866 de 2021 | Réglementation de la HCEI — mise en œuvre opérationnelle |
| Ley 1098 de 2006 | Protection renforcée des données des mineurs |
| Ley 1751 de 2015 (Statutaire de Santé) | Confidentialité + droits du patient |
| Sentencia C-1011/2008 | Cadre constitutionnel de l'habeas data |
| Sentencia T-114/2018 | Habeas data spécifique en matière de santé — droit du patient sur son dossier médical |
| Sentencia T-307/1999 | Dossier médical comme donnée sensible bénéficiant d'une protection maximale |
Autorité de Protection des Données : la SIC (Superintendencia de Industria y Comercio) conserve sa pleine juridiction. ARTERIA NE la remplace PAS — elle la renforce opérationnellement.
§2. Classification des données dans le système de santé sous ARTERIA
Quatre catégories avec régime différencié :
| Catégorie | Définition | Régime | Accès |
|---|---|---|---|
| Données sensibles du patient | Dossier médical, diagnostics, prescriptions, examens avec résultat, événements indésirables individuels, biométrie | Ley 1581 art. 5+6 | Exclusif du titulaire + autorisation explicite + ordonnance judiciaire qualifiée dans les cas médico-légaux |
| Données privées du patient | Identité civile, localisation, contact, condition d'affiliation | Ley 1581 art. 3 | Titulaire + responsable du traitement + sous-traitants autorisés |
| Données publiques du système | Registre des prestataires, identité et habilitation des professionnels (ReTHUS), prix effectifs des médicaments, décisions réglementaires | Ley 1581 art. 3 | Accès public ouvert |
| Données dissociées et agrégées | Analyse épidémiologique, surveillance des EIM agrégée, métriques opérationnelles, indicateurs de qualité par catégorie | Ley 1581 art. 25 + D-1377 | Accès public ouvert |
Principe opérationnel clé : séparation cryptographique entre les catégories. La couche publique opère sur des données dissociées ; la couche privée opère sur des données chiffrées avec la clé du titulaire ; aucun opérateur ne peut les combiner sans autorisation explicite.
§3. Mapping des rôles du régime de protection sur ARTERIA
| Rôle Ley 1581 | Dans ARTERIA |
|---|---|
| Titulaire de la donnée | Le patient. Propriétaire juridique et technique de son dossier médical |
| Responsable du traitement | L'État via MinSalud + ADRES + entités territoriales |
| Sous-traitants du traitement | IPS, professionnels, dispensateurs, autorités réglementaires — autorisés pour un sous-ensemble spécifique |
| Opérateur technique du standard | La fondation opératrice opère la plateforme sans accès au contenu clinique chiffré. Elle traite des métadonnées dissociées |
| Autorité de Protection des Données | SIC — pleine juridiction préservée et renforcée |
| Défenseur du Peuple | Fonction constitutionnelle + tutelles au nom des patients |
| Procuraduría Delegada para Protección de Datos | Fonction disciplinaire sur les fonctionnaires publics |
Distinction critique face au système actuel : dans le modèle hérité, les EPS sont des sous-traitants disposant d'une autonomie large et sans traçabilité cryptographique. Dans ARTERIA, le patient est titulaire technique, les IPS sont des sous-traitants avec autorisation explicite tracée, et l'opérateur du standard n'accède pas au contenu. L'asymétrie EPS↔patient se retrouve structurellement inversée.
§4. Opérationnalisation des principes de la Ley 1581 dans ARTERIA
| Principe Ley 1581 | Matérialisation dans ARTERIA |
|---|---|
| Légalité | Tout traitement dans le cadre constitutionnel + légal. Habilitation du standard par décret + loi spécifique le cas échéant |
| Finalité | Finalité explicitement déclarée par catégorie de donnée. Aucun usage hors finalité déclarée n'est valide |
| Liberté | Consentement préalable, exprès et éclairé. Exceptions (urgences, santé publique, ordonnance judiciaire) définies de manière limitative |
| Véracité | Données vérifiables par le titulaire et rectifiables. L'identité cryptographique garantit la véracité de la signature |
| Transparence | Le titulaire consulte à tout moment quelles données existent, qui les a apportées, qui les a consultées, sous quelle finalité |
| Accès et circulation restreints | Seuls le titulaire et les autorisés accèdent à la donnée sensible. L'opérateur technique n'accède pas au contenu |
| Sécurité | Cryptographie multi-piliers post-quantique + identité liée au matériel + partitionnement + redondance + builds reproductibles. Standard supérieur à celui exigible légalement |
| Confidentialité | Stockage chiffré de bout en bout. Pas même la fondation opératrice ne peut lire le contenu. Propriété architecturale, non engagement institutionnel |
§5. Garanties concrètes au titulaire de la donnée (patient)
ARTERIA matérialise les droits du titulaire (Ley 1581 art. 8) en tant que droits exigibles opérationnalisés techniquement :
| Droit du titulaire | Comment il s'exerce dans ARTERIA |
|---|---|
| Connaître, mettre à jour et rectifier | Accès complet depuis le client natif. Rectification avec signature cryptographique + audit trail immuable |
| Demander la preuve de l'autorisation | Toute autorisation est consignée dans le DAG signé du titulaire |
| Être informé de l'usage de ses données | Le client natif montre en temps réel chaque consultation, par qui, sous quelle finalité |
| Présenter des plaintes auprès de la SIC | Mécanisme depuis le client natif + canal direct vers la SIC avec preuves cryptographiques consolidées |
| Révoquer l'autorisation + suppression | Rotation de la clé cryptographique du patient — le dossier médical devient cryptographiquement inaccessible sans destruction physique (compatible avec la rétention légale de 15 ans). Révocation à une IPS spécifique avec effet immédiat |
| Accéder gratuitement | Depuis le client natif, gratuitement, en temps réel, sans démarche |
| Cession / portabilité | Exportable au standard international FHIR R5 |
Cinq garanties supplémentaires que le système actuel NE fournit PAS :
- Traçabilité cryptographique de l'accès — chaque consultation est enregistrée avec identité, date, heure, finalité
- Granularité de l'autorisation — le patient peut autoriser l'accès à des parties spécifiques (uniquement cardiologie, pas santé mentale) ou à des périodes spécifiques
- Notification en temps réel — le patient reçoit une notification immédiate de chaque accès
- Révocation sans friction — opérationnelle en quelques secondes depuis le client natif
- Audit externe permanent — DAG auditable par la SIC, la Procuraduría et des auditeurs indépendants engagés par le titulaire
§6. Traitement des données sensibles — protection renforcée
Les données de santé sont sensibles par définition légale (Ley 1581 art. 5). Catégories de protection renforcée :
| Catégorie | Protection renforcée |
|---|---|
| Santé mentale + addictions | Accès restreint au praticien traitant direct + urgences documentées. Autorisation supplémentaire pour consultation non directe. Audit spécial |
| VIH/SIDA | Régime spécial Ley 972/2005 + protection renforcée. Accès restreint par défaut, autorisation granulaire |
| Maladies sexuellement transmissibles | Protection renforcée similaire à celle du VIH |
| Oncologie + maladies catastrophiques | Gestion spéciale de l'information pronostique + protection contre la discrimination professionnelle et assurantielle |
| Avortement légal (Sentencia C-355/2006 et suivantes) | Confidentialité maximale. Accès réservé au praticien traitant et à la femme titulaire. Exclu des recherches générales |
| Génétique + médecine génomique | Protection spéciale — les données héréditaires affectent des proches non titulaires. Consentement élargi |
| Santé reproductive | Confidentialité renforcée. Protection face à l'accès du partenaire ou des proches sans autorisation explicite |
Mécanisme technique : les catégories de protection renforcée sont mises en œuvre comme des compartiments cryptographiques séparés au sein du dossier médical unifié. Chaque compartiment requiert une autorisation spécifique du titulaire pour l'accès, y compris par le professionnel traitant d'autres spécialités.
§7. Cas particuliers et exceptions régulées
7.1. Mineurs (Ley 1098/2006)
- Représentation légale par les parents, le tuteur ou le défenseur de famille
- Données sensibles des mineurs avec protection renforcée — accès des parents restreint dans certains cas (autonomie progressive)
- Adolescents ≥ 14 ans disposant de la capacité de consentement éclairé pour des traitements spécifiques selon la jurisprudence
- Le système requiert une autorisation duale lorsque cela s'applique (représentant légal + adolescent)
7.2. Personnes âgées avec déclin cognitif
- Représentation par un aidant légalement autorisé (curateur, soutiens sous Ley 1996/2019)
- Audit renforcé de l'accès par le représentant
- Mécanismes de protection face aux abus du représentant
7.3. Recherche scientifique avec données de santé
- Régime du Decreto 8430/1993 + Resolución 1407/2002 (Bonnes Pratiques Cliniques)
- Données dissociées (anonymisées de manière irréversible) sans nécessité de consentement individuel
- Données identifiables avec consentement éclairé + comité d'éthique
- Audit continu des protocoles
7.4. Santé publique (épidémies, pandémies)
- Exception régulée sous Ley 9/1979 + Ley 1751/2015
- Données agrégées dissociées accessibles à l'autorité sanitaire
- Données identifiables uniquement sous déclaration d'urgence sanitaire nationale + audit renforcé
- Surveillance épidémiologique sur des schémas agrégés
7.5. Cas médico-légaux + ordonnance judiciaire
- Accès sous ordonnance judiciaire qualifiée (juge de la république)
- Audit renforcé
- Notification au titulaire dès qu'elle est compatible avec l'enquête
- Les données consultées sont placées sous custody judiciaire
7.6. Transfert international de données
- Régime Decreto 1377/2013 + Chapitre 25 Ley 1581
- Transfert vers des pays au régime adéquat certifié par la SIC
- Recherche internationale : données dissociées + accord + autorisation explicite du titulaire
- ARTERIA opère sous souveraineté technique nationale — les serveurs et la juridiction opérationnelle sont colombiens. Le transfert international est une exception régulée, non une condition opératoire
7.7. Régimes spéciaux (forces armées, magistère, Ecopetrol)
- Conservent leurs régimes spéciaux avec coordination opérationnelle avec ARTERIA le cas échéant
- Intégrables au standard technique national en vertu d'accords spécifiques sans perdre leur autonomie administrative
§8. Privacy by design — architecture cryptographique comme conformité légale
ARTERIA met en œuvre le principe international de privacy by design (Ann Cavoukian, 2009 ; codifié dans le RGPD art. 25) comme propriété architecturale :
| Principe Privacy by Design | Matérialisation dans ARTERIA |
|---|---|
| Proactif, non réactif | Protection par architecture dès la base, non comme couche additionnelle |
| Privacy par défaut | Configuration de confidentialité maximale par défaut. Le patient doit opter explicitement pour le partage |
| Privacy intégrée à la conception | Le chiffrement de bout en bout avec la clé du titulaire est une propriété structurelle, non une option |
| Pleine fonctionnalité — somme positive | Traçabilité publique + confidentialité du patient coexistent parce qu'elles opèrent sur des catégories dissociées |
| Sécurité de bout en bout | Chiffrement au repos + en transit + en calcul (zero-knowledge proofs) |
| Visibilité et transparence | Le patient voit exactement qui a accédé à quoi et quand |
| Respect de la vie privée de l'utilisateur | Le titulaire contrôle opérationnellement ses données |
Standards techniques appliqués :
- ISO 27799:2025 (gestion de la sécurité de l'information en santé)
- ISO/IEC 27001 (système de management de la sécurité de l'information)
- Cryptographie avec audit public robuste et soutien post-quantique
- Stockage des clés lié au matériel du dispositif du titulaire
Les primitives cryptographiques spécifiques sélectionnées, les algorithmes et les paramètres de mise en œuvre sont documentés dans le dépôt technique sous contrôle de la Fondation Opératrice du Standard (proposition technique §10), auditables par des équipes techniques qualifiées indépendantes sous accord de confidentialité technique. La raison institutionnelle de cet équilibre est articulée dans la proposition technique §3.
§9. Comparaison avec le RGPD (standard international)
Le RGPD (Règlement UE 2016/679) est le standard international le plus exigeant. ARTERIA respecte ou dépasse ses exigences :
| Droit RGPD | ARTERIA respecte |
|---|---|
| Accès (art. 15) | Oui, en temps réel depuis le client natif |
| Rectification (art. 16) | Oui, avec audit trail cryptographique |
| Oubli (art. 17) | Oui, via rotation de clé (compatible avec la rétention légale) |
| Limitation du traitement (art. 18) | Oui, granularité par compartiment |
| Portabilité (art. 20) | Oui, exportation FHIR R5 |
| Opposition (art. 21) | Oui, révocation opérationnelle en quelques secondes |
| Décisions automatisées (art. 22) | Les smart contracts exécutent des règles standardisées ; les décisions affectant les droits individuels requièrent l'intervention humaine du professionnel |
| Privacy by design + by default (art. 25) | Oui, par architecture |
| AIPD (art. 35) | Audit continu du DAG par des auditeurs indépendants |
| DPO (art. 37-39) | Fonction dans la fondation opératrice + coordination avec la SIC |
| Notification de violations (art. 33-34) | Automatique via smart contract à la SIC + titulaires affectés dans le délai légal |
Conclusion : ARTERIA respecte ou dépasse l'intégralité du RGPD. Pertinent pour le transfert international, la recherche clinique collaborative avec des institutions européennes et le positionnement international de la Colombie dans les standards de santé numérique.
§10. Régime de sanctions + relation avec la SIC
Sanctions Ley 1581 art. 23 applicables aux responsables et sous-traitants :
- Amendes jusqu'à 2 000 SMMLV (~2 847 millions de pesos COP à 2026)
- Suspension d'activités jusqu'à 6 mois
- Fermeture temporaire
- Fermeture immédiate et définitive
Sanctions renforcées pour ARTERIA :
- Vérification automatique de la conformité : le DAG permet à la SIC d'auditer en temps réel sans enquête réactive
- Smart contract de sanction : lorsqu'une violation vérifiable est détectée (accès non autorisé enregistré dans le DAG), le système déclenche automatiquement une procédure devant la SIC avec preuves consolidées
- Suspension technique immédiate : en cas de violation vérifiée, la fondation opératrice peut suspendre techniquement l'acteur (en révoquant l'identité cryptographique) en parallèle de la procédure formelle
Relation avec la SIC : la Superintendencia conserve sa pleine juridiction. ARTERIA NE lui retire PAS son autorité — elle lui fournit la preuve consolidée et vérifiable. La procédure disciplinaire opère sur des données cryptographiquement auditables, ce qui renforce sa capacité.
§11. Plan de mise en œuvre de la protection des données
| Période | Action |
|---|---|
| Mois 0–3 | Définition formelle de la politique de protection des données du standard national. Désignation du Data Protection Officer au sein de la fondation opératrice. Coordination initiale avec la SIC |
| Mois 3–6 | Enregistrement des bases de données du système unifié auprès de la SIC (Decreto 886/2014). Audit de sécurité par cabinet externe. Conception des compartiments cryptographiques |
| Mois 6–9 | Déploiement du client natif avec fonctionnalité complète d'habeas data. Premiers 100 000 utilisateurs volontaires |
| Mois 9–12 | Couverture en pilotes IPS volontaires. Formation du personnel clinique. Fonctionnement de l'AIPD continue |
| Mois 12–18 | Migration progressive des dossiers médicaux hérités avec consentement + audit spécial. Auto-initiation de procédures devant la SIC pour les cas détectés |
| Mois 18–24 | Couverture nationale. Audit externe annuel complet. Coordination opérationnelle plénière avec la SIC, la Procuraduría, la Defensoría |
| Mois 24+ | Opération stabilisée. Rapports publics annuels. Amélioration continue dans le cadre légal |
§12. Résumé des défenses juridiques explicites
Défense 1 — « ARTERIA viole-t-elle l'habeas data ? »
Non. Elle le réalise opérationnellement avec une plus grande robustesse que le système actuel. Le patient est titulaire technique et juridique de ses données. Tout accès est enregistré cryptographiquement. La révocation est opérationnelle en quelques secondes. La rectification est traçable. La portabilité est native. Le système met en œuvre les huit principes de la Ley 1581 + les sept droits du titulaire comme propriétés architecturales, et non comme engagements institutionnels.
Défense 2 — « La traçabilité publique contredit-elle la réserve légale de la donnée de santé ? »
Non. La traçabilité publique opère sur des métadonnées dissociées et agrégées (flux financier de l'UPC, indicateurs de qualité des prestataires, métriques opérationnelles). Les données personnelles sensibles du patient sont chiffrées avec sa propre clé. Aucune autorité — ni le Ministère, ni l'ADRES, ni la fondation opératrice, ni la SIC — ne peut lire le dossier médical d'un patient sans son autorisation ou sans ordonnance judiciaire qualifiée.
Défense 3 — « L'État aura-t-il un accès indu à l'information personnelle ? »
Non. L'État est responsable juridique du traitement, mais n'est pas opérateur technique avec accès au contenu chiffré. La fondation opératrice opère sur des métadonnées, non sur les payloads. Accéder au contenu clinique requiert l'autorisation du titulaire ou une ordonnance judiciaire. Il s'agit d'une protection structurellement supérieure à celle du système actuel.
Défense 4 — « Et en cas de violation de sécurité massive ? »
ARTERIA met en œuvre une défense en profondeur : cryptographie post-quantique + identité liée au matériel + partitionnement + redondance + audit continu + builds reproductibles + ISO 27799:2025. Une violation technique qui compromettrait le système exigerait de compromettre simultanément plusieurs couches indépendantes — opérationnellement proche de l'impossible pour des adversaires réels. Dans le cas hypothétique d'une violation vérifiée, le système notifie automatiquement la SIC et les titulaires affectés dans le délai légal.
Défense 5 — « Que se passe-t-il pour des cas sensibles comme la santé mentale, le VIH, l'avortement légal ? »
Protection renforcée par compartiments cryptographiques séparés (§6). Ces catégories requièrent une autorisation supplémentaire spécifique du titulaire pour tout accès, y compris du professionnel traitant d'autres spécialités. Le standard de confidentialité est supérieur à celui du système actuel.
Défense 6 — « Sommes-nous en train de remettre des données nationales sensibles à une entreprise privée ? »
Non. La fondation opératrice est une entité sans but lucratif de droit public dotée d'un conseil technique mixte + audit externe international. Aucun fournisseur étranger : ni Microsoft Azure, ni AWS, ni Google Cloud, ni Oracle, ni IBM n'ont d'accès. Infrastructure nationale + custody sous Fondation Opératrice + builds reproductibles + audit public. Souveraineté technique et juridique plénière.
État de l'annexe
- v1.0 : 2026-06-11
- Front : défense juridique
- Audience : avocats constitutionnalistes, équipe juridique MinSalud, SIC, Defensoría, Procuraduría Delegada para Protección de Datos, journalistes techniques, multilatéraux
- Prochaine itération : mise à jour avec la jurisprudence postérieure à juin 2026